Il protocollo TLS/SSL sarabbe a richio. Causa una vulnerabilità, non da poco, che sta proprio nel protocollo, più precisamente quando c’è la rinegozazione e nella sua gestione consentendo così attacchi Man in the middle.

Ad esempio è possibile, in SSL, quando è in atto la rinegozazione, un’inject di un nuovo prefisso nella sessione SSL, che non può essere intercettato più alla fine.

Vulnerabili risultano Apache, IIS, OpenSSL e tutti gli altri software che utilizzano il protocollo, anche siti https.

Le prime correzioni che ci sono state, non han fatto altro che disabilitare la rinegozazione, in attesa di una patch a lungo termine che ovvii questo tipo di attacco.

Un pdf interessante sul tutto è possibile scaricarlo da qui : Renegotiating TLS.pdf

E altri link interesanti a riguardo della notizia sono:

• Links: Another Protocol Bites The Dust
• ML [TLS] MITM attack on delayed TLS-client auth through renegotiation